是否有机会为使用40 位或 56 位加密通过注册表调整?我必须在很多电脑上启用此功能,但不想在每台电脑上手动执行此操作。遗憾的是,我不能使用 gpo。我刚刚找到了这个设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Create a new DWORD value with the following properties:
NAME: LmCompatibilityLevel
VALUE: 1
但这只会改变“LAN 管理器身份验证级别”。我必须另外将加密从 更改为128,40- or 56 bit但如果没有 GUI,我该如何实现呢?
答案1
您正在搜索的注册表项是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NtlmMinClientSec
将其设置为 00000000 以禁用 128 位加密。如果您有 PC 主机名列表,则可以运行脚本来远程更改密钥,但这是另一个 Exchange 领域……
答案2
文件共享加密
默认情况下,Windows 7 使用 128 位加密进行文件共享连接。GUI 还允许您选择 40 位或 56 位加密:
通过使用类似瑞格射或者进程监控您可以比较注册表更改。受影响的注册表项是:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
具体来说,设置了两个值:
NtlmMinClientSec
NtlmMinServerSec
有效范围是0x0 | 0x10 | 0x20 | 0x80000 | 0x20000000,至少在 Windows Server 2003 之前如此。从 Windows 7 开始,当您通过 GUI 启用 128 位加密选项时,两者都设置为0x20000000。否则它们设置为0x0。
批量自动化
这是一个示例批处理脚本,它可以自动应用所需的更改。只需确保以管理员权限运行它即可。
@echo off
for %%G in (Client,Server) do (
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" /v "NtlmMin%%GSec" /t REG_DWORD /d 0 /f >nul
)
exit /b